fs.state_dir.perms_world_writable | kritisch | Andere Benutzer/Prozesse können den gesamten OpenClaw-Status ändern | Dateisystemberechtigungen auf ~/.openclaw | ja |
fs.state_dir.perms_group_writable | Warnung | Benutzer der Gruppe können den gesamten OpenClaw-Status ändern | Dateisystemberechtigungen auf ~/.openclaw | ja |
fs.state_dir.perms_readable | Warnung | Das State-Verzeichnis ist für andere lesbar | Dateisystemberechtigungen auf ~/.openclaw | ja |
fs.state_dir.symlink | Warnung | Das Ziel des State-Verzeichnisses wird zu einer weiteren Vertrauensgrenze | Dateisystem-Layout des State-Verzeichnisses | nein |
fs.config.perms_writable | kritisch | Andere können Auth-/Tool-Richtlinie/Konfiguration ändern | Dateisystemberechtigungen auf ~/.openclaw/openclaw.json | ja |
fs.config.symlink | Warnung | Symlinkte Konfigurationsdateien werden für Schreibvorgänge nicht unterstützt und fügen eine weitere Vertrauensgrenze hinzu | durch eine reguläre Konfigurationsdatei ersetzen oder OPENCLAW_CONFIG_PATH auf die echte Datei zeigen lassen | nein |
fs.config.perms_group_readable | Warnung | Benutzer der Gruppe können Konfigurations-Tokens/-Einstellungen lesen | Dateisystemberechtigungen auf der Konfigurationsdatei | ja |
fs.config.perms_world_readable | kritisch | Die Konfiguration kann Tokens/Einstellungen offenlegen | Dateisystemberechtigungen auf der Konfigurationsdatei | ja |
fs.config_include.perms_writable | kritisch | Eine eingebundene Konfigurationsdatei kann von anderen geändert werden | Berechtigungen der Include-Datei, auf die von openclaw.json verwiesen wird | ja |
fs.config_include.perms_group_readable | Warnung | Benutzer der Gruppe können eingebundene Secrets/Einstellungen lesen | Berechtigungen der Include-Datei, auf die von openclaw.json verwiesen wird | ja |
fs.config_include.perms_world_readable | kritisch | Eingebundene Secrets/Einstellungen sind weltweit lesbar | Berechtigungen der Include-Datei, auf die von openclaw.json verwiesen wird | ja |
fs.auth_profiles.perms_writable | kritisch | Andere können gespeicherte Modell-Credentials einschleusen oder ersetzen | Berechtigungen von agents/<agentId>/agent/auth-profiles.json | ja |
fs.auth_profiles.perms_readable | Warnung | Andere können API-Schlüssel und OAuth-Tokens lesen | Berechtigungen von agents/<agentId>/agent/auth-profiles.json | ja |
fs.credentials_dir.perms_writable | kritisch | Andere können Kanal-Kopplungs-/Credential-Status ändern | Dateisystemberechtigungen auf ~/.openclaw/credentials | ja |
fs.credentials_dir.perms_readable | Warnung | Andere können Kanal-Credential-Status lesen | Dateisystemberechtigungen auf ~/.openclaw/credentials | ja |
fs.sessions_store.perms_readable | Warnung | Andere können Sitzungs-Transkripte/-Metadaten lesen | Berechtigungen des Sitzungs-Stores | ja |
fs.log_file.perms_readable | Warnung | Andere können redigierte, aber weiterhin sensible Logs lesen | Berechtigungen der Gateway-Logdatei | ja |
fs.synced_dir | Warnung | State/Konfiguration in iCloud/Dropbox/Drive erweitert die Offenlegung von Tokens/Transkripten | Konfiguration/State aus synchronisierten Ordnern verschieben | nein |
gateway.bind_no_auth | kritisch | Remote-Bind ohne Shared Secret | gateway.bind, gateway.auth.* | nein |
gateway.loopback_no_auth | kritisch | Reverse-proxied loopback kann unauthentifiziert werden | gateway.auth.*, Proxy-Setup | nein |
gateway.trusted_proxies_missing | Warnung | Reverse-Proxy-Header sind vorhanden, werden aber nicht als vertrauenswürdig behandelt | gateway.trustedProxies | nein |
gateway.http.no_auth | Warnung/kritisch | Gateway-HTTP-APIs sind mit auth.mode="none" erreichbar | gateway.auth.mode, gateway.http.endpoints.* | nein |
gateway.http.session_key_override_enabled | Info | HTTP-API-Aufrufer können sessionKey überschreiben | gateway.http.allowSessionKeyOverride | nein |
gateway.tools_invoke_http.dangerous_allow | Warnung/kritisch | Aktiviert gefährliche Tools über die HTTP-API erneut | gateway.tools.allow | nein |
gateway.nodes.allow_commands_dangerous | Warnung/kritisch | Aktiviert Node-Befehle mit hoher Auswirkung (Kamera/Bildschirm/Kontakte/Kalender/SMS) | gateway.nodes.allowCommands | nein |
gateway.nodes.deny_commands_ineffective | Warnung | Musterartige Deny-Einträge passen nicht auf Shell-Text oder Gruppen | gateway.nodes.denyCommands | nein |
gateway.tailscale_funnel | kritisch | Öffentliche Exponierung ins Internet | gateway.tailscale.mode | nein |
gateway.tailscale_serve | Info | Tailnet-Exponierung ist über Serve aktiviert | gateway.tailscale.mode | nein |
gateway.control_ui.allowed_origins_required | kritisch | Nicht-Loopback-Control-UI ohne explizite Browser-Origin-Allowlist | gateway.controlUi.allowedOrigins | nein |
gateway.control_ui.allowed_origins_wildcard | Warnung/kritisch | allowedOrigins=["*"] deaktiviert Browser-Origin-Allowlisting | gateway.controlUi.allowedOrigins | nein |
gateway.control_ui.host_header_origin_fallback | Warnung/kritisch | Aktiviert Host-Header-Origin-Fallback (Herabstufung der DNS-Rebinding-Härtung) | gateway.controlUi.dangerouslyAllowHostHeaderOriginFallback | nein |
gateway.control_ui.insecure_auth | Warnung | Kompatibilitätsschalter für unsichere Authentifizierung aktiviert | gateway.controlUi.allowInsecureAuth | nein |
gateway.control_ui.device_auth_disabled | kritisch | Deaktiviert die Geräteidentitätsprüfung | gateway.controlUi.dangerouslyDisableDeviceAuth | nein |
gateway.real_ip_fallback_enabled | Warnung/kritisch | Vertrauen auf X-Real-IP-Fallback kann Source-IP-Spoofing per Proxy-Fehlkonfiguration ermöglichen | gateway.allowRealIpFallback, gateway.trustedProxies | nein |
gateway.token_too_short | Warnung | Kurzes Shared Token lässt sich leichter per Brute Force angreifen | gateway.auth.token | nein |
gateway.auth_no_rate_limit | Warnung | Exponierte Authentifizierung ohne Rate-Limiting erhöht das Brute-Force-Risiko | gateway.auth.rateLimit | nein |
gateway.trusted_proxy_auth | kritisch | Die Proxy-Identität wird jetzt zur Authentifizierungsgrenze | gateway.auth.mode="trusted-proxy" | nein |
gateway.trusted_proxy_no_proxies | kritisch | Trusted-Proxy-Authentifizierung ohne vertrauenswürdige Proxy-IPs ist unsicher | gateway.trustedProxies | nein |
gateway.trusted_proxy_no_user_header | kritisch | Trusted-Proxy-Authentifizierung kann die Benutzeridentität nicht sicher auflösen | gateway.auth.trustedProxy.userHeader | nein |
gateway.trusted_proxy_no_allowlist | Warnung | Trusted-Proxy-Authentifizierung akzeptiert jeden authentifizierten Upstream-Benutzer | gateway.auth.trustedProxy.allowUsers | nein |
checkId | Schweregrad | Warum es wichtig ist | Primärer Fix-Schlüssel/-Pfad | Auto-Fix |
| ------------------------------------------------------------- | ------------- | ------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | -------- |
gateway.probe_auth_secretref_unavailable | Warnung | Die Deep-Probe konnte Auth-SecretRefs in diesem Befehlspfad nicht auflösen | Auth-Quelle der Deep-Probe / Verfügbarkeit von SecretRefs | nein |
gateway.probe_failed | Warnung/kritisch | Die Live-Gateway-Probe ist fehlgeschlagen | Gateway-Erreichbarkeit/Auth | nein |
discovery.mdns_full_mode | Warnung/kritisch | Der vollständige mDNS-Modus bewirbt Metadaten wie cliPath/sshPort im lokalen Netzwerk | discovery.mdns.mode, gateway.bind | nein |
config.insecure_or_dangerous_flags | Warnung | Es sind unsichere/gefährliche Debug-Flags aktiviert | mehrere Schlüssel (siehe Befunddetails) | nein |
config.secrets.gateway_password_in_config | Warnung | Das Gateway-Passwort ist direkt in der Konfiguration gespeichert | gateway.auth.password | nein |
config.secrets.hooks_token_in_config | Warnung | Das Bearer-Token für Hooks ist direkt in der Konfiguration gespeichert | hooks.token | nein |
hooks.token_reuse_gateway_token | kritisch | Das Ingress-Token für Hooks entsperrt auch die Gateway-Authentifizierung | hooks.token, gateway.auth.token | nein |
hooks.token_too_short | Warnung | Erleichtert Brute Force auf Hook-Ingress | hooks.token | nein |
hooks.default_session_key_unset | Warnung | Hook-Agent-Läufe werden auf generierte Sitzungen pro Anfrage aufgefächert | hooks.defaultSessionKey | nein |
hooks.allowed_agent_ids_unrestricted | Warnung/kritisch | Authentifizierte Hook-Aufrufer können an jeden konfigurierten Agenten routen | hooks.allowedAgentIds | nein |
hooks.request_session_key_enabled | Warnung/kritisch | Externe Aufrufer können sessionKey wählen | hooks.allowRequestSessionKey | nein |
hooks.request_session_key_prefixes_missing | Warnung/kritisch | Keine Begrenzung für externe Session-Key-Formen | hooks.allowedSessionKeyPrefixes | nein |
hooks.path_root | kritisch | Der Hook-Pfad ist /, wodurch Ingress leichter kollidieren oder fehlgeleitet werden kann | hooks.path | nein |
hooks.installs_unpinned_npm_specs | Warnung | Hook-Installationsdatensätze sind nicht auf unveränderliche npm-Spezifikationen festgelegt | Hook-Installationsmetadaten | nein |
hooks.installs_missing_integrity | Warnung | Hook-Installationsdatensätze enthalten keine Integritätsmetadaten | Hook-Installationsmetadaten | nein |
hooks.installs_version_drift | Warnung | Hook-Installationsdatensätze weichen von den installierten Paketen ab | Hook-Installationsmetadaten | nein |
logging.redact_off | Warnung | Sensible Werte gelangen in Logs/Status | logging.redactSensitive | ja |
browser.control_invalid_config | Warnung | Die Browser-Control-Konfiguration ist vor der Runtime ungültig | browser.* | nein |
browser.control_no_auth | kritisch | Browser-Steuerung ist ohne Token-/Passwort-Authentifizierung exponiert | gateway.auth.* | nein |
browser.remote_cdp_http | Warnung | Remote-CDP über einfaches HTTP hat keine Transportverschlüsselung | Browserprofil cdpUrl | nein |
browser.remote_cdp_private_host | Warnung | Remote-CDP zielt auf einen privaten/internen Host | Browserprofil cdpUrl, browser.ssrfPolicy.* | nein |
sandbox.docker_config_mode_off | Warnung | Die Sandbox-Docker-Konfiguration ist vorhanden, aber inaktiv | agents.*.sandbox.mode | nein |
sandbox.bind_mount_non_absolute | Warnung | Relative Bind-Mounts können unvorhersehbar aufgelöst werden | agents.*.sandbox.docker.binds[] | nein |
sandbox.dangerous_bind_mount | kritisch | Ziele von Sandbox-Bind-Mounts treffen blockierte System-, Credential- oder Docker-Socket-Pfade | agents.*.sandbox.docker.binds[] | nein |
sandbox.dangerous_network_mode | kritisch | Das Docker-Netzwerk der Sandbox verwendet host oder container:*-Namespace-Join-Modus | agents.*.sandbox.docker.network | nein |
sandbox.dangerous_seccomp_profile | kritisch | Das Sandbox-Seccomp-Profil schwächt die Container-Isolation | agents.*.sandbox.docker.securityOpt | nein |
sandbox.dangerous_apparmor_profile | kritisch | Das Sandbox-AppArmor-Profil schwächt die Container-Isolation | agents.*.sandbox.docker.securityOpt | nein |
sandbox.browser_cdp_bridge_unrestricted | Warnung | Die Browser-Bridge der Sandbox ist ohne Einschränkung des Quellbereichs exponiert | sandbox.browser.cdpSourceRange | nein |
sandbox.browser_container.non_loopback_publish | kritisch | Ein vorhandener Browser-Container veröffentlicht CDP auf Nicht-Loopback-Schnittstellen | Publish-Konfiguration des Browser-Sandbox-Containers | nein |
sandbox.browser_container.hash_label_missing | Warnung | Ein vorhandener Browser-Container stammt noch aus der Zeit vor den aktuellen Konfig-Hash-Labels | openclaw sandbox recreate --browser --all | nein |
sandbox.browser_container.hash_epoch_stale | Warnung | Ein vorhandener Browser-Container stammt noch aus der Zeit vor der aktuellen Browser-Konfig-Epoche | openclaw sandbox recreate --browser --all | nein |
tools.exec.host_sandbox_no_sandbox_defaults | Warnung | exec host=sandbox schlägt geschlossen fehl, wenn die Sandbox deaktiviert ist | tools.exec.host, agents.defaults.sandbox.mode | nein |
tools.exec.host_sandbox_no_sandbox_agents | Warnung | exec host=sandbox pro Agent schlägt geschlossen fehl, wenn die Sandbox deaktiviert ist | agents.list[].tools.exec.host, agents.list[].sandbox.mode | nein |
tools.exec.security_full_configured | Warnung/kritisch | Host-Exec läuft mit security="full" | tools.exec.security, agents.list[].tools.exec.security | nein |
tools.exec.auto_allow_skills_enabled | Warnung | Exec-Genehmigungen vertrauen Skill-Bins implizit | ~/.openclaw/exec-approvals.json | nein |
tools.exec.allowlist_interpreter_without_strict_inline_eval | Warnung | Interpreter-Allowlists erlauben Inline-Eval ohne erzwungene erneute Genehmigung | tools.exec.strictInlineEval, agents.list[].tools.exec.strictInlineEval, Exec-Genehmigungs-Allowlist | nein |
tools.exec.safe_bins_interpreter_unprofiled | Warnung | Interpreter-/Runtime-Bins in safeBins ohne explizite Profile erweitern das Exec-Risiko | tools.exec.safeBins, tools.exec.safeBinProfiles, agents.list[].tools.exec.* | nein |
tools.exec.safe_bins_broad_behavior | Warnung | Tools mit breitem Verhalten in safeBins schwächen das Low-Risk-stdin-Filter-Vertrauensmodell | tools.exec.safeBins, agents.list[].tools.exec.safeBins | nein |
tools.exec.safe_bin_trusted_dirs_risky | Warnung | safeBinTrustedDirs enthält veränderbare oder riskante Verzeichnisse | tools.exec.safeBinTrustedDirs, agents.list[].tools.exec.safeBinTrustedDirs | nein |
skills.workspace.symlink_escape | Warnung | skills/**/SKILL.md im Workspace wird außerhalb des Workspace-Root aufgelöst (Symlink-Ketten-Drift) | Dateisystemstatus von skills/** im Workspace | nein |
plugins.extensions_no_allowlist | Warnung | Plugins werden ohne explizite Plugin-Allowlist installiert | plugins.allowlist | nein |
plugins.installs_unpinned_npm_specs | Warnung | Plugin-Installationsdatensätze sind nicht auf unveränderliche npm-Spezifikationen festgelegt | Plugin-Installationsmetadaten | nein |
checkId | Schweregrad | Warum es wichtig ist | Primärer Fix-Schlüssel/-Pfad | Auto-Fix |
| ------------------------------------------------------------- | ------------- | ------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- | -------- |
plugins.installs_missing_integrity | Warnung | Plugin-Installationsdatensätze enthalten keine Integritätsmetadaten | Plugin-Installationsmetadaten | nein |
plugins.installs_version_drift | Warnung | Plugin-Installationsdatensätze weichen von installierten Paketen ab | Plugin-Installationsmetadaten | nein |
plugins.code_safety | Warnung/kritisch | Der Code-Scan des Plugins hat verdächtige oder gefährliche Muster gefunden | Plugin-Code / Installationsquelle | nein |
plugins.code_safety.entry_path | Warnung | Der Entry-Pfad des Plugins zeigt in versteckte oder node_modules-Orte | Plugin-Manifest entry | nein |
plugins.code_safety.entry_escape | kritisch | Der Entry des Plugins verlässt das Plugin-Verzeichnis | Plugin-Manifest entry | nein |
plugins.code_safety.scan_failed | Warnung | Der Code-Scan des Plugins konnte nicht abgeschlossen werden | Plugin-Pfad / Scan-Umgebung | nein |
skills.code_safety | Warnung/kritisch | Metadaten/Code des Skill-Installers enthalten verdächtige oder gefährliche Muster | Installationsquelle des Skills | nein |
skills.code_safety.scan_failed | Warnung | Der Code-Scan des Skills konnte nicht abgeschlossen werden | Scan-Umgebung des Skills | nein |
security.exposure.open_channels_with_exec | Warnung/kritisch | Geteilte/öffentliche Räume können Exec-fähige Agenten erreichen | channels.*.dmPolicy, channels.*.groupPolicy, tools.exec.*, agents.list[].tools.exec.* | nein |
security.exposure.open_groups_with_elevated | kritisch | Offene Gruppen + erhöhte Tools schaffen Prompt-Injection-Pfade mit hoher Auswirkung | channels.*.groupPolicy, tools.elevated.* | nein |
security.exposure.open_groups_with_runtime_or_fs | kritisch/Warnung | Offene Gruppen können Kommando-/Datei-Tools ohne Sandbox-/Workspace-Guards erreichen | channels.*.groupPolicy, tools.profile/deny, tools.fs.workspaceOnly, agents.*.sandbox.mode | nein |
security.trust_model.multi_user_heuristic | Warnung | Die Konfiguration wirkt wie Multi-User, während das Gateway-Vertrauensmodell persönlicher Assistent ist | Vertrauensgrenzen trennen oder Shared-User-Härtung (sandbox.mode, Tool-Deny/Workspace-Scoping`) | nein |
tools.profile_minimal_overridden | Warnung | Agent-Overrides umgehen das globale Minimalprofil | agents.list[].tools.profile | nein |
plugins.tools_reachable_permissive_policy | Warnung | Extension-Tools sind in permissiven Kontexten erreichbar | tools.profile + Tool-Allow/Deny | nein |
models.legacy | Warnung | Legacy-Modellfamilien sind noch konfiguriert | Modellauswahl | nein |
models.weak_tier | Warnung | Konfigurierte Modelle liegen unter den derzeit empfohlenen Tiers | Modellauswahl | nein |
models.small_params | kritisch/Info | Kleine Modelle + unsichere Tool-Oberflächen erhöhen das Injection-Risiko | Modellwahl + Sandbox-/Tool-Richtlinie | nein |
summary.attack_surface | Info | Zusammenfassender Überblick über Auth-, Kanal-, Tool- und Exponierungs-Status | mehrere Schlüssel (siehe Befunddetails) | nein |
